輸出資料與儲存磁碟區加密

透過 Amazon SageMaker Ground Truth，您可以標記高度敏感的資料、控制資料，並採用安全最佳實務。在執行標籤工作時，Ground Truth 會加密傳輸中和靜態的資料。此外，您可以搭配 Ground Truth 使用 AWS Key Management Service （AWS KMS） 來執行下列動作：

• 使用客戶受管金鑰來加密您的輸出資料。

• 將 AWS KMS 客戶受管金鑰與自動化資料標籤任務搭配使用，以加密連接至用於模型訓練和推論之運算執行個體的儲存磁碟區。

請使用此頁面的主題來進一步了解 Ground Truth 安全性功能。

使用您的KMS金鑰加密輸出資料

或者，您可以在建立標籤任務時提供 AWS KMS 客戶受管金鑰，Ground Truth 會使用該任務來加密輸出資料。

如果您未提供客戶受管金鑰，Amazon SageMaker 會使用 Amazon S3 的預設值 AWS 受管金鑰 來加密您的輸出資料。

如果您提供客戶受管金鑰，您必須將必要許可新增至使用 AWS KMS的加密輸出資料和儲存磁碟區中所述的金鑰。使用 API操作 時CreateLabelingJob，您可以使用 參數 指定客戶受管金鑰 IDKmsKeyId。請參閱下列程序，了解如何在使用主控台建立標籤工作時新增客戶受管金鑰。

若要新增 AWS KMS 金鑰來加密輸出資料 （主控台）：

1. 完成建立標記任務 (主控台)中的前 7 項步驟。

2. 在步驟 8，選取其他組態旁邊的箭頭以展開此區段。

3. 針對加密金鑰 ，選取您要用來加密輸出資料的 AWS KMS 金鑰。

4. 完成建立標記任務 (主控台)中的其餘步驟以建立標籤工作。

使用您的KMS金鑰加密自動資料標籤儲存磁碟區 （API僅限 ）

當您使用 CreateLabelingJob API 操作建立具有自動資料標籤的標籤任務時，您可以選擇加密連接至執行訓練和推論任務之 ML 運算執行個體的儲存磁碟區。若要將加密新增至儲存磁碟區，請使用 參數VolumeKmsKeyId輸入 AWS KMS 客戶受管金鑰。如需此參數的詳細資訊，請參閱LabelingJobResourceConfig。

如果您ARN為 指定金鑰 ID 或 VolumeKmsKeyId，您的 SageMaker執行角色必須包含呼叫 的許可kms:CreateGrant。若要了解如何將此權限新增至執行角色，請參閱為 Ground Truth 標籤工作建立 SageMaker 執行角色。

注意

如果您在主控台中建立標籤任務時指定 AWS KMS 客戶受管金鑰，該金鑰只會用來加密輸出資料。它不會用來加密連接至用於自動化資料標籤之機器學習 (ML) 運算執行個體的儲存磁碟區。